تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 02mp@Claire 📅 2026-07-18 02:26:34

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

상표:
공유하다:
FB X YT IG
02mp@Claire

02mp@Claire

블록체인 및 암호자산 편집자, 다음에 중점을 둡니다.정책도메인 콘텐츠 분석 및 통찰력

논평 (10)

Ансель 11며칠 전
Блокчейн расширяет возможности реальной экономики, и это правильный путь.
Королева 11며칠 전
Затраты на атаку Сивиллы могут быть ниже в PoS.
Офелия 11며칠 전
Что означает полная по Тьюрингу?
Сэди 11며칠 전
Хорошая мысль, достойная обсуждения.
Алиса 11며칠 전
Пользователей не волнуют технологии, их волнует только то, легко ли ими пользоваться и зарабатывают ли они деньги.
Раймонд 12며칠 전
Согласен, блокчейн меняет бизнес-логику.
Уэйд 14며칠 전
Согласен, будущее многообещающее.
Остин 19며칠 전
Существует множество стандартов совместимости, которые могут образовать новые разрозненные территории.
Аверил 30며칠 전
В настоящее время многие приложения используют блокчейн ради блокчейна, и существует слишком много ложных требований.
Бруклин 38며칠 전
В портфолио Lego DeFi основные риски наложены и скрыты.

댓글 추가

관련 내용

인기 콘텐츠